Falska Symantec blogg distribuerar macOS Proton

Computer Security News

En falsk blogg av det legitima säkerhetsföretaget Symantec breder ut en ny version av Proton malware inriktning macOS.

Utvecklarna av Proton malware skapade symantecblog [dot] com som är en bra imitation av riktiga Symantec bloggen och även speglar innehållet från den ursprungliga webbplatsen.

Det ser ut som den falska bloggen främjar ett program som heter ”Symantec Malware Detector” via ett inlägg om en ny version av CoinThief, men det faktiskt distribuerar OSX. Proton.

Det visar sig att den domänens registreringsinformation är legitima och dess namn och adress är desamma som de som Symantec använder, men den e-postadressen visar att något är fel. Certifikatet som används för webbplatsen är dessutom ett legitimt SSL-certifikat som utfärdats av Comodo och inte av den Symantecs certifikatutfärdare.

Säkerhetsexperter rapporterade att falska och legitima konton har spridits länkar till falska bloggen på Twitter, och hackarna bakom denna kampanj kan ha använt stulna lösenord tillgång till legitima konton för att främja malware.

Programmet Symantec Malware detektorn aktiveras för första gången, och visar ett mycket enkelt fönster, använder Symantec logotypen, hävdar att kräva tillstånd att utföra en systemkontroll. Enligt forskarna om användaren stänger fönstret vid denna punkt, installeras Proton malware inte på datorn.

Om det potentiella offret samtycker till att kör kontrollen, administratörslösenord begärs och malware stjäl användarens lösenord. Efter att ansökan visar en förloppsindikator som påstår sig att skanna datorn, Proton malware installeras dock istället.

Som Symantec Malware detektor rekommenderas program är inget annat än en malware dropper, alla användare som har hämtat det att ta bort det och försök att rengöra sina datorer på en gång.

Installeras på systemet, Proton omedelbart börjar samla användarinformation, till exempel administratörslösenord och annan känslig information (PII), och sparar alla data till en dold fil. Nyckelring filer, Autofyll webbläsarinformation, 1Password valv och GPG lösenord stjäls också.

Den Proton körbara tappas i katalogen .random och hålls igång av com.apple.xpcd.plist lanseringen agenten. Stulna informationen lagras i mappen .cachedir.

”Lyckligtvis Apple är medveten om detta malware och har återkallat certifikatet används för att signera skadlig kod. Detta kommer att förhindra framtida infektioner av Symantec Malware detektorn. Återkallningsorsak kommer inte av sig själv, gör allt för att skydda en dator som redan är smittad ”, experter säkerhetsläget.

Proton malware har skapats för att stjäla inloggningsuppgifter och de berörda användarna uppmanas att vidta akuta åtgärder efter infektion. De bör överväga alla deras online lösenord som äventyras och ändra dem, medan ställa in olika lösenord för varje webbplats och lagra dem alla i ett lösenord manager.

Dessutom ingen huvudlösenord bör hållas i nyckelringen eller någon annanstans på datorn och aktivera tvåfaktorsautentisering bör minimera påverkan.


Leave a Reply

Your email address will not be published. Required fields are marked *